如果服务器关闭,我希望客户端无限期地尝试重新连接,所以当它回来时,客户端只是重新连接。
客户ipsec.conf
conn %default
ike=aes256gcm16-sha384-modp3072!
esp=aes256gcm16-sha384-modp3072!
conn ikev2
auto=start
[email protected]
leftsourceip=%config
leftauth=eap-tls
leftcert=vpn-client.crt
right=my-vpn.com
rightid=my-vpn.com
rightsubnet=0.0.0.0/0
rightauth=pubkey
您通常会使用陷阱策略,因此与安装在内核中的 IPsec 策略匹配的流量会自动触发 IKE 和 IPsec SA 的协商。它们还可以防止任何匹配的流量使主机未加密。但是,要使用虚拟 IP
leftsourceip(因此,对于较新的版本,或者在不使用虚拟 IP 的场景中,只需配置
auto=route. 并且不要设置下面提到的任何设置(或将它们设置为clear,keyingtries可能设置为 1)。当使用旧版本的虚拟 IP 时,您可以配置
dpdaction=restart,closeaction=restart和keyingtries=%forever(连同auto=start)在 SA 被对等方终止或由于网络问题(发生这种情况时未加密的流量可能会离开主机)重新创建 SA,除非您通过防火墙)。如上所述,在使用陷阱策略时不应该使用这些设置,因为这可能会导致额外的 IPsec SA(由同时重新创建 SA 时遇到这些策略的流量触发)。另请注意,有一些致命错误(例如身份验证失败)当前不会触发重新创建受影响的 IKE SA,因此这可能需要一个脚本来偶尔检查 SA 是否存在或正在建立(使用错误通知插入因为触发器也可以是一种选择)。